Firefoxにはセキュリティの脆弱性の点でActiveXに似たものがありますか?
LinuxはWindowsよりも安全であると言われます。主な理由は、一般的なシステム設計哲学と、ユーザーはユーザーでありルートではないという事実にあるようです。
WindowsとInternet Explorerを使用する際の主なセキュリティ上の懸念は、ActiveXのようです。数日ごとにActiveXを使用する別の種類のエクスプロイトについて読みましたが、ほとんどの場合、回避策はActiveXを無効にすることです。よく読んでいるのですが、なぜ人々がActiveXをまったくアクティブにしないのかと疑問に思います。 (1つの理由として、名前に「アクティブ」が含まれている可能性があります。別の理由として、Windows更新機能があります。)
UbuntuとFirefoxを使用して、ActiveXエクスプロイトについて読むとき、私はいつもとても安全だと感じています。 JavaScriptやAdobe Flashを使用する他の多くのセキュリティ脆弱性があることは知っていますが、これらの種類のセキュリティ脆弱性は、私のユーザー権限で許される範囲でしか損害を与えられません。もちろん、マルウェアがすべてのデータを破壊したい場合はあまり役に立ちませんが、今日のマルウェアのほとんどはボットネットドローンとしてPCを使用するだけであるため、データの破壊には興味がありません。
もう一度質問します。Ubuntuで実行されているFirefoxには、セキュリティの脆弱性の点でActiveXに似たものがありますか?
同一の可能性がある別の質問:Adobe FlashやJavaScriptに関連するセキュリティ脆弱性は、ActiveXエクスプロイトと同程度の損害を与えるために「簡単に」エクスプロイトできますか?
「簡単」と言うとき、攻撃はシステムの別のコンポーネントを悪用してユーザー権限を高める必要がないことを意味します。たとえば、Adobe Flashを含むエクスプロイトは、ユーザー権限を使用してPCにアクセスし、Xの既知の脆弱性を悪用してルートアクセスを取得します。それは「簡単」ではありません。
セキュリティの脆弱性に関して、ubuntuの下のfirefoxにはactiveXに似たものがありますか?
「ActiveX」は、オブジェクトモデルとインストール方法の2つの部分で考えることができます。 Firefoxには、両方に似たようなものがあり、Ubuntuでも他のプラットフォーム間でも互換性があります。
ActiveXのオブジェクトモデルは Microsoft COM です。 Firefoxに相当するものは XPCOM です。 Webブラウジングとは関係のない他の多くのWindows機能とアプリケーションはMS COMを使用し、安全なWeb使用のために書かれていないCOMコントロールがWebページで利用できるという無限の問題が伝統的にありました。これは多くの妥協を引き起こしました。 XPCOMはシステムの他の部分と共有されないため、Firefoxの方が良いでしょう。 IEの新しいバージョンには、どのサイトがどのコントロールを使用できるかを緩和するためのより良いコントロールがあります。
(副次的な問題として、Firefoxの多くのアドオンは高レベルのスクリプト言語であるJavaScriptで記述されているため、多くの場合、IEの拡張よりもバッファオーバーフローや文字列処理エラーに対して安全です。一般的にC [++]で記述されています。)
ActiveXのコントロールダウンローダーの部分も、マイコンピュータゾーンにあるものが好きなソフトウェアをインストールでき、攻撃的なローダースクリプトがalertループに閉じ込められる可能性がある悪い昔から少しクリーンアップされています。 ActiveXプロンプトを承認することに同意しました。 Firefoxの同等の XPInstall は、Mozillaのサイトを除くすべてのサイトにデフォルトで「情報バー」が表示され、インストール前に適切な警告/プロンプトが表示されます。
Mozillaで自分自身を危険にさらす別の組み込み方法があります: signed scripts 。これが実際に使用されるのを見たことはなく、スクリプトが追加の権限を取得する前に別の警告ウィンドウが表示されることは確かですが、これがWebページで利用できることを心配しています。
たとえば、フラッシュを介したエクスプロイトは、ユーザー権限でPCにアクセスします
はい、今日のWebエクスプロイトの大半はプラグインで発生しています。 Adobe Reader、Java(*)、およびQuickTimeが最も人気があり、脆弱です。 IMO:それらを取り除き、FlashBlockを使用して、必要なときにのみFlashを表示します。
(*:Javaのダイアログを使用して、一部の信頼できないアプレットにすべてのセキュリティをあきらめることもできます。)
Ubuntuはデフォルトでいくつかの疑わしいプラグインを提供します。特に、メディアコーデックのすべての脆弱性をWebから悪用できるメディアプレーヤープラグインを提供します(Windows Media Playerプラグインと同様に、より多くのフォーマットでのみ可能)。このようなLinuxを標的とするエクスプロイトにまだ出会っていませんが、それは実際にはあいまいさによるセキュリティにすぎません。
ActiveX自体も同じです。 ActiveXに基づくWebブラウザーの侵害は、依然としてユーザーレベルのアクセスのみを許可します。これは、Vistaよりも前から全員が管理者としてすべてを習慣的に実行していたために、これが完全なルート化にエスカレートしたからです。
xの既知の脆弱性を悪用してルート権限を取得します。それは「簡単」ではありません。
多分そうでないかもしれません。しかし、通常のユーザーアカウントであっても、一部のマルウェアが与える損害は十分に大きいと思います。すべての個人データをコピーし、キー入力を観察し、すべてのドキュメントを削除します...
それは脆弱性の性質に依存します。ときどき「幸運」であり、脆弱性が「ジャスト」である程度の開示を許可しますが、多くの場合、脆弱性は任意のコードの実行を許可します。その時点で、ActiveXの問題と同じくらい深く、あなたは深いドゥーダにいます。そして、これらの穴は、画像ファイル(悪意のある画像)、音声、その他ほとんどすべての処理に存在する可能性があります。
ActiveXは、コードライターが「これがインストールされている場合、Webページから参照しても安全です」と宣言する方法を提供し、多くのコーダーがその意味を理解せずにオンにしたため、さらに悪かったため、多くのターゲットがありました簡単に出られます。しかし、画像ファイル内の奇妙な数字の不適切な処理からも同様に多くの露出があります。ブラウザを更新することで画像ファイルの問題が修正されるだけです。
これに対する唯一の防御は、サンドボックスを使用することです。これにより、ユーザーとして実行されるプロセスが実行できることを制限します。 OpenBSDは、さまざまなデーモン(特にOpenSSHであるため、現在Ubuntuでこれを使用しています)の特権分離でこれを普及させました。 ChromeはWebブラウザーでこれを一般化しましたが、一部のプラットフォームでのみサンドボックス化されています。皮肉なことに、おそらくしばらくの間、Linuxのグラフィカルブラウザよりも、WindowsでChromeを使用した方が安全でした。幸いなことに、これは変化しています。現在、Linuxリリースには一部の部分的な保護機能があると思います。 Capsicumプロジェクトは、これを(機能システムを備えた)FreeBSDでより完全に行う方法を示し、Linuxカーネル開発者がいずれかのセキュリティモデルをめぐって争うのをやめ、ほぼ普遍的にWebで利用できるようになることを願っています-chroot擬似サンドボックスを可能にするsuidラッパーである鈍いハンマーではなく、依存するブラウザー。
http://www.cl.cam.ac.uk/research/security/capsicum/ は、サンドボックスの機能システムを調査し、状況が改善される方法を確認する場合に適しています。
AFAIK ActiveXエクスプロイトは、ユーザーの権利の範囲外でも害を及ぼすことはありません(他のエクスプロイトを使用することなく、あなたが示すように)。 Windowsの主な問題は、ほとんどすべての人が管理者として働いていたことでした...